トップ 最新 追記

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2006-03-23

_ [webappsec] Strutsで作るセキュアWebアプリケーション

新連載。「Strutsを使ってるから安全だ」と盲目に信じてた人は要チェック。


2006-03-25

_ [etc] Cookie Monster

根が深い。

_ [etc] 読み上げにくいURL

だだーっと打って、BASE64 ってとこでしょうか。


2006-03-27

_ [webappsec] Struts 1.2.9

出てた。Relase Notes。

Security Fix が含まれてる。特に、Bug 38374 の問題は影響が大きそうなので、早めにアップデートをしたほうが良さそう。 このへんでほのめかされてた話なんだけど。
旧バージョンのまま回避するには、html:cancelを使っているかどうかにかかわらず、isCanceled() を使ってキャンセル状態かどうかを判断し、キャンセルの場合の処理を追加してあげる必要がある。

2006/04/26追記: JVNでも公開されました。
JVN#72225922 Apache Struts において Validator による入力値検査が回避される脆弱性


無料アクセス解析